0821 / 80 99 46 - 0
Rückruf anfordern
zum Kontaktformular
0821 / 80 99 46 - 0
exali.de Mein Business bestens versichert
Mein exali Login
exali.de
"Klare Antworten statt Versicherungschinesisch"
Jan Mörgenthaler
Online-Redaktion
Ihr Business bestens versichert
Jan Mörgenthaler, Online-Redaktion

Jan Mörgenthaler
Online-Redaktion
  • Versicherungen

    IT und Engineering

    IT-Haftpflicht

    Kreative und Agenturen

    Media-Haftpflicht

    Unternehmensberater

    Consulting-Haftpflicht

    Rechtsanwälte

    Anwalts-Haftpflicht

    eCommerce-Versicherungen

    Webshop-Versicherung
    Portal-Versicherung

    Architekten und Ingenieure

    Architektenhaftpflicht
    Haftpflicht für Ingenieure

    Manager und Beauftragte

    Firmen D&O-Versicherung
    Persönliche D&O Versicherung

    sonstige Dienstleister

    Haftpflicht für Dienstleister

    Allgemein

    Berufshaftpflichtversicherung
    Betriebshaftpflichtversicherung
    Vermögensschadenhaftpflicht
    Cyber-Versicherung

    Versicherungslexikon

    Glossar
    Ausgewählte Berufe
  • News & Stories
  • Blog
  • Produktfinder
    Produktfinder
  • Mein exali Login
Home / News&Stories /
Der Chef, der keiner ist: Business-Risiko Fake President Trick
Der Chef, der keiner ist: Business-Risiko Fake President Trick
CEO-Fraud: Schadenfall und Tipps
CEO-Fraud: Schadenfall und Tipps

Der Chef, der keiner ist: Business-Risiko Fake President Trick
Der Chef, der keiner ist: Business-Risiko Fake President Trick

Beitrag von Ines RietzlerBeitrag von Ines RietzlerInes Rietzler
Beitrag von Ines RietzlerBeitrag von Ines RietzlerInes Rietzler
Montag, 20. Juli 2020
Montag, 20. Juli 2020
<- Zurück zur Übersicht

„Hallo, ich bin`s, der CEO. Können Sie mir mal schnell 4.000 Euro überweisen.“ Was abwegig klingt, ist eine beliebte Masche bei Cyberkriminellen: der sogenannte Fake President Trick. Dabei gehen die Kriminellen nicht immer so stümperhaft vor, dass die Masche sofort auffliegt. Zwischen den Jahren 2013 und 2016 haben Kriminelle damit weltweit 5,3 Milliarden Dollar ergaunert, auch Facebook und Google waren schon betroffen. Genauso wie ein Kunde von exali.de in einem aktuellen Schadenfall…

Echter Schadenfall: Wenn der CEO Geschenkkarten braucht…

Unser Versicherter in diesem echten Schadenfall, der kürzlich in unserer Kundenbetreuung landete, ist ein Start-up aus der Software-Branche. Zum Hintergrund: Der CEO des Unternehmens ist gleichzeitig der Gründer und unter den Mitarbeitern bekannt.

Einer davon erhielt eines Tages eine Mail des vermeintlichen CEO, die er auf seinem Smartphone öffnete. Der CEO bat den Mitarbeiter darin um einen Gefallen: er brauche dringend Google Play Store Geschenkkarten im Wert von 1.500 Euro und könne sie derzeit selbst nicht besorgen. Der Mitarbeiter ging daraufhin in mehrere Läden, kaufte 15 Karten á 100 Euro und übermittelte dem vermeintlichen Firmengründer die Codes. Zudem übersandte er auf Wunsch noch Fotos der Karten.

Erst als der CEO sich damit immer noch nicht zufrieden gab und nun weitere Geschenkkarten anderer Anbieter von seinem Mitarbeiter forderte, wurde dieser stutzig und antwortete nicht mehr auf die E-Mails. Leider zu spät: Die 1.500 Euro für die Wertkarten waren verloren. Der vermeintliche CEO war – Überraschung – nicht der Gründer und CEO des Start-ups, sondern ein Betrüger.

1.500 Euro Schaden durch falschen CEO

Das über exali.de versicherte Start-up meldete den Schaden bei uns und der Versicherer bezahlte die 1.500 Euro abzüglich des vereinbarten Selbstbehalts. Zudem rieten wir dem Unternehmen, ihre Mitarbeiter (noch mehr) im Hinblick auf die Cybercrime-Gefahren zu schulen und auf den Fake President Trick aufmerksam zu machen. Denn wäre der Mitarbeiter mehr sensibilisiert gewesen, hätte er an diesen Anzeichen erkennen können, dass es sich beim E-Mail-Absender nicht um den richtigen CEO handelte:

  • Die E-Mail enthielt einen merkwürdigen Disclaimer in anderer Sprache
  • Die E-Mail-Adresse des vermeintlichen CEO enthielt eine Endung, die nichts mit dem Unternehmen zu tun hat
  • Der Cyberkriminelle alias CEO übte starken Druck auf den Mitarbeiter aus und teilte ihm routinemäßig mit, was er als nächstes tun soll.

Twitter gekapert: Über 100.000 Euro Schaden

Auch Twitter hatte im Juli 2020 mit Social Engineering zu kämpfen. Gleich mehrere Twitter-User waren sich einig, dass sich eine Investition in Bitcoins über einen bestimmten Link auszahlen würde. Viele vertrauenswürdige Accounts sprachen sich unabhängig voneinander dafür aus. Handelte es sich also um eine solide Geldanlage? Unter den Usern waren verifizierte Accounts wie die von Bill Gates, Barack Obama oder Elon Musk, die auch noch jeden eingezahlten Dollar verdoppeln wollten. Klingt fast schon zu gut, um wahr zu sein? Ist es auch. Wer hier eine Sicherheitslücke bei Twitter oder einer Software vermutet, liegt allerdings falsch. Auch hier handelt es sich um einen Social Engineering Schaden. Laut Twitter habe ein Angestellter die Zugangsdaten zu einem internen Tool herausgegeben. Dort wurden die E-Mail-Adressen, die bei den Accounts hinterlegt waren, geändert. So wurde den Cyberkriminellen die Türe geöffnet. Ob der Twitter-Mitarbeiter getäuscht wurde oder sich bestechen ließ, wird momentan noch untersucht. Der entstandene Schaden wird auf 120.000 Dollar (knapp über 100.000 Euro) geschätzt.

Alles gar nicht so neu: 40 Millionen Euro weg - Der Fall Leoni

Im Jahr 2016 sorgte der Fall des Nürnberger Autozulieferers Leoni für Aufsehen. Insgesamt 40 Mio. Euro hatte die AG auf ausländische Konten überwiesen. Das Geld war weg, die Aktie stürzte ab. In einer Adhoc-Mitteilung gab das Unternehmen bekannt, es sei „Opfer betrügerischer Handlungen unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ geworden. Die Fake President Masche ist also nicht neu. Bereits damals bedienten sich die Kriminellen interner Informationen, spähten Accounts aus und verschickten falsche Anweisungen im Namen von Vorständen und Geschäftsführern. Leoni erhielt letztendlich 5 Millionen Euro durch eine Vertrauensschadenversicherung zurück und arbeitete intern den Fall auf. Aufgrund von Regelverstößen seien personelle Konsequenzen gezogen worden, interne Kontrollsysteme wurden ausgeweitet und überprüft sowie Mitarbeiter zum Fake President Trick geschult.

Fake President Trick: Cyberkriminelle werden immer „besser“

Sie denken jetzt: Das kann mir nicht passieren? Die Wahrheit ist jedoch: Jedem Unternehmen kann der Fake President Trick gefährlich werden. Denn die Chef-Masche wird immer beliebter und die Kriminellen immer kreativer. Stümperhaft verfasste Mails sind dabei die Ausnahme. Mittlerweile arbeiten sie mit Künstlicher Intelligenz, die Stimmen nachmachen kann oder verschicken Mails an zahlungsberechtigte Mitarbeiter, die täuschend echt sind und sogar Firmen-Interna enthalten (die heutzutage oft keine mehr sind, weil über das Internet und Social Media auch Insider-Wissen abgefragt werden kann). Nicht immer geht es direkt um eine Überweisung, oft werden auch Daten abgefragt und diese dann genutzt, um Konten zu sperren und Lösegeld zu erpressen.

Künstliche Intelligenz kann Stimmen imitieren

In einem Fall aus Großbritannien wurde der CEO eines Energieversorgers vom vermeintlichen CEO des deutschen Mutterkonzerns angerufen. Er sollte an einen Zulieferer 220.000 Euro überweisen, das Geld werde dann vom Mutterkonzern zurückerstattet. Als Grund für das Vorgehen nannte der Fake-CEO die Zeitverschiebung zwischen Deutschland und Großbritannien und wies auf eine ansonsten verpasste Zahlungsfrist hin. Auch hier nutzten die Cyberkriminellen ein Programm, das die Stimme des deutschen CEO inklusive Akzent perfekt imitierte. Das Geld wurde wie gewünscht überwiesen. Als der Betrug auffiel, waren die 220.000 Euro verloren.

Auch die Funk-Gruppe berichtet von Fake-President-Attacken über mehrere Jahre, die eine steile Lernkurve der Kriminellen zeigen bis hin zu real existierenden Unternehmensberatern, die mit in die Betrugsversuche „integriert“ wurden.

Aktuell wird zudem die Corona-Krise für den Fake President Trick ausgenutzt. Da momentan viele Mitarbeiter im Homeoffice arbeiten, geben sich die Betrüger als Mitarbeiter der IT-Abteilung aus und fordern unter einem Vorwand die Login-Daten des Opfers. Mit den Daten sperren die Cyberkriminellen dann Zugänge und geben sie nur gegen Lösegeldzahlung wieder frei. Es gibt aber auch Fälle, in denen die Kriminellen E-Mails an die Kunden eines Unternehmens verschickten und diesen vermeintlich neue Bankverbindungen für die Beitragszahlungen mitteilten.  

So enttarnen Sie den Fake President Trick

Wichtig ist es deshalb, dass Sie sich über die aktuellen Maschen der Cyberkriminellen auf dem Laufenden halten und Ihre Mitarbeiter darüber informieren. Diese Anzeichen sprechen für eine Fake President Attacke:

  • Die E-Mail enthält keine oder eine veränderte Signatur
  • Die Anrede, der Inhalt der Mail oder die Grußformel weichen vom üblichen Sprachgebrauch im Unternehmen ab
  • Sie werden auf einmal geduzt bzw. gesiezt, obwohl sonst das Gegenteil der Fall ist
  • Anrufe erfolgen mit unterdrückter Rufnummer
  • Aufforderungen zur Überweisung von Beträgen kommen nicht vom unmittelbaren Vorgesetzten, sondern von höheren Führungskräften (evtl. sogar von Tochtergesellschaften oder anderen Standorten des Unternehmens)
  • Es handelt sich um ungewöhnlich hohe Summen, die überwiesen werden sollen

Unternehmen vor Fake President Trick schützen

Informieren Sie in jedem Fall Ihre Mitarbeiter darüber, wie sie betrügerische Mails erkennen. Daneben gibt es noch weitere Maßnahmen, mit denen Sie dafür sorgen können, dass die Betrüger in Ihrem Unternehmen keine Chance haben:

  • Geben Sie klare Anweisungen zum Ablauf von Zahlungsaufträgen und Überweisungen. Jeder Mitarbeiter im Unternehmen muss wissen, wer Zahlungsaufträge erteilen darf und wer nicht
  • Führen Sie ein Mehr-Augen-Prinzip ein, legen Sie dieses schriftlich fest und stellen Sie sicher, dass der Prozess für jeden Mitarbeiter jederzeit einsehbar ist
  • Machen Sie deutlich, dass die Vorgaben immer eingehalten werden, auch bei (vermeintlich) vertraulichen Transaktionen
  • Führen Sie regelmäßige Schulungen durch, evtl. mit Test-Mails (sogenannte Social Engineering Tests)
Tipp:

Weitere Informationen zu Social Engineering gibt es in unserem Artikel: Social Engineering: Wie der Mensch zum Risiko wird und wie sich Unternehmen schützen können.

Kein Fake: Die Berufshaftpflicht über exali.de

Ob Fake President Trick oder andere Cybercrime-Maschen: Mit einer Berufshaftpflichtversicherung über exali.de ist Ihr Unternehmen geschützt. Schäden durch Social Engineering oder auch Vertrauensschäden durch eigene Mitarbeiter (zum Beispiel Griff in die Unternehmenskasse) sind in allen Versicherungen mitversichert.

Ihren Versicherungsschutz können Sie außerdem mit dem Zusatzbaustein Datenschutz- und Cyber-Eigenschaden-Deckung (DCD) erweitern. Dann übernimmt der Versicherer auch die Kosten für die Wiederherstellung und Bereinigung Ihrer eigenen IT-Systeme.  

Sie wollen lieber eine eigenständige und flexible Lösung für Cyber-Risiken? Dann können Sie die Cyber-Versicherung auch als „Stand-alone-Lösung“ abschließen und sich mit verschiedenen Modulen Ihre ganz individuelle Cyber-Versicherung zusammenstellen.

Achtung:

Wenn Sie selbst als Geschäftsführer, Manager oder Mitarbeiter mit Sonderfunktion (zum Beispiel Compliance-Beauftragter) auf den Fake President Trick hereinfallen und damit Ihr Unternehmen schädigen, kann es sein, dass Sie dafür persönlich haften müssen. Für die Absicherung von Geschäftsführern, Vorständen und Beauftragten gibt es die D&O-Versicherungen über exali.de. Auch grob fahrlässiges Handeln ist damit abgesichert.

Ines Rietzler
Autorenprofil
Ines Rietzler
Chefredakteurin Online-Redaktion

Wer bin ich?
Nach einem Volontariat und ein paar Jahren in der Unternehmenskommunikation bin ich nun bei exali als Chefredakteurin in der Online-Redaktion für Content aller Art zuständig.
Was mag ich?
Sommer, Reisen, gutes Essen und Fußball.
Was mag ich nicht?
Bahn fahren, Rosenkohl und Schleimer.

Autorenprofil
Ines Rietzler
Ines Rietzler

Chefredakteurin Online-Redaktion

Wer bin ich?
Nach einem Volontariat und ein paar Jahren in der Unternehmenskommunikation bin ich nun bei exali als Chefredakteurin in der Online-Redaktion für Content aller Art zuständig.
Was mag ich?
Sommer, Reisen, gutes Essen und Fußball.
Was mag ich nicht?
Bahn fahren, Rosenkohl und Schleimer.

vorheriger Artikel
 
zurück
 
nächster Artikel
Diese Artikel könnten Sie auch interessieren
Emotet: Der gefährlichste Trojaner der Welt und wie Sie sich davor schützen
Emotet: Der gefährlichste Trojaner der Welt und wie Sie sich davor schützen
Service-Plus zu Ihrer Berufshaftpflicht: Cybercrime-Prävention, Online-Rechtsservice und mehr
Service-Plus zu Ihrer Berufshaftpflicht: Cybercrime-Prävention, Online-Rechtsservice und mehr
Achtung Fake-Abmahnung! Phishing-Mails im Namen echter Anwälte in Umlauf
Achtung Fake-Abmahnung! Phishing-Mails im Namen echter Anwälte in Umlauf
IT Forensik Experte im Interview: Die Datenrettung scheitert oft am Back-up
IT Forensik Experte im Interview: Die Datenrettung scheitert oft am Back-up
Diese Artikel könnten Sie auch interessieren
Emotet: Der gefährlichste Trojaner der Welt und wie Sie sich davor schützen
Emotet: Der gefährlichste Trojaner der Welt und wie Sie sich davor schützen
Service-Plus zu Ihrer Berufshaftpflicht: Cybercrime-Prävention, Online-Rechtsservice und mehr
Service-Plus zu Ihrer Berufshaftpflicht: Cybercrime-Prävention, Online-Rechtsservice und mehr
Achtung Fake-Abmahnung! Phishing-Mails im Namen echter Anwälte in Umlauf
Achtung Fake-Abmahnung! Phishing-Mails im Namen echter Anwälte in Umlauf
IT Forensik Experte im Interview: Die Datenrettung scheitert oft am Back-up
IT Forensik Experte im Interview: Die Datenrettung scheitert oft am Back-up
0 Kommentare
Schreiben Sie einen Kommentar
Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Verarbeitung Ihrer Anfrage erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.

Versicherungen

  • IT-Haftpflicht
  • Media-Haftpflicht
  • Consulting-Haftpflicht
  • Anwalts-Haftpflicht
  • eCommerce-Versicherungen
  • D&O Versicherung
  • Architektenhaftpflicht
  • Haftpflicht für Ingenieure
  • Haftpflicht für Dienstleister
  • Hausverwalter-Haftpflicht
  • Ausgewählte Berufe
  • Schaden melden

News & Stories

  • Artikel
  • Videos
  • Glossar
  • Newsflash abonnieren

Kooperationspartner

  • GULP
  • freelancermap
  • BITMi
  • k2 Partnering Solutions
  • sevDesk

Über uns

  • Über exali.de
  • Karriere
  • Kontakt
  • Impressum
  • Nutzungsbedingungen
  • Datenschutz
  • Widerrufsbelehrung
© exali AG, alle Rechte vorbehalten
Cookie-Einstellungen

Um die Funktion unseres Online-Tarifrechners auf exali.de zu gewährleisten, ist der Einsatz von Cookies notwendig. Zusätzliche Cookies, die für statistische Zwecke oder personalisierte Inhalte genutzt werden, kommen nur dann zum Einsatz, wenn Sie diesen zustimmen. Um Ihre Cookie-Einstellungen anzupassen, klicken Sie auf die entsprechenden Checkboxen und anschließend auf „Auswahl bestätigen“. Alternativ können Sie mit dem Klick auf „Alles auswählen“ allen Cookies zustimmen. Ihre Cookie-Einstellungen können Sie jederzeit ändern. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Impressum
 
Details anzeigen Details ausblenden
Notwendig
Diese Cookies sind für den Betrieb der Seite notwendig. Hierzu zählen beispielsweise die Funktion des Online-Tarifrechners und sicherheitsrelevante Funktionen.

Statistik

Für unsere User möchten wir Angebote und Inhalte auf unseren Webseiten stets verbessern. Hierfür erfassen wir mit Google Analytics anonymisierte Daten für Analysen und Statistiken und werten diese aus. Mit diesen Cookies können wir beispielsweise erfassen, welche Infotexte besonders häufig angeklickt werden und entsprechend unsere Informationen optimieren.

Personalisierung

Mit diesen Cookies können wir den Service für unsere User verbessern und Ihnen individualisierte Inhalte, passend zu Ihren Interessen, anzeigen. Mit dem LinkedIn Insight-Tag, Google Ads und dem Facebook Pixel können wir Ihnen auch plattformübergreifend passende Inhalte ausspielen.
Auswahl bestätigen
alles auswählen und bestätigen
Ihr Webbrowser ist leider veraltet! Aktualisieren Sie bitte Ihren Browser, um alle Funktionen im Beitragsrechner nutzen zu können.
Ihr Geschäftssitz befindet sich in
Je nach Land können die von exali angebotenen Versicherungen leicht variieren. Bitte wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben, um das für Sie passende Angebot zu erhalten.